技術加忽悠,舌辯羣儒
中國有句古諺,“馬無外草不肥,人無外財不富”,年底前的追加撥款必須用到網絡或安全產品中,這使得“安全網關採購”翻到了提示簿中第一頁。我們重新衡量了防毒產品的在網絡中的地位,下面是我排除異己、而又略帶牽強性的發言,當然也是力推防毒網關的理論。
可能由於一貫保持了“強勢”的發言作風,雖然遇到了一些不同意見,但總算把“錢”拿到了自己的帳上,但接下來我馬上就進入了自我矛盾的陷阱中了。由於下級單位的網絡中並沒有防火牆這個設備,大多的安全策略是在路由器或者三層交換機的上聯端口上配置的,所以該採用偏重流量檢測的防火牆,還是採用偏重病毒防禦的防毒牆,又或者是採用集各種功能於一身的UTM,我還存在一定的迷惑。
衡量我們自己的業務水平,另一個考慮的採購因素就是操作的簡便性。雖然市教育網絡和信息中心負責對全市所有中小學網絡管理教師進行系統培訓,並要求所有的網絡管理教師通過培訓考試獲得資格證書。但大部分網管的學歷水平較低,有30%左右的人是轉崗(之前從事其他學科的教學工作),知識結構難免單一。這樣一來,網管們即使想學習其他技能,也都因爲缺乏一定的理論基礎而擱淺。對這些網管來說,除了電腦和網絡方面的基礎知識,幾乎沒學習過其他方面的理論,更不要說至今爲止一直搞不懂得“安全”了,這就大大降低了他們掌握這個複雜產品的可能性。而UTM的優點在於它能以較低的成本滿足我們對信息安全的大部分需求,避免使用單一安全設備帶來高昂的採購維護成本和複雜的部署管理工作。它提供的界面簡單易操作,使得非專業用戶也能進行常規的維護工作。
之前測試過幾個UTM,我非常清楚由於UTM在一個設備上整合了多個安全功能模塊,因此設備所能實現的反垃圾郵件、反病毒等功能與單一安全設備相比尚有一定差距。如果UTM設備在啓用基本防火牆功能的情況下,同時開啓反病毒、***檢測等耗費系統資源的應用模塊,性能會顯著下降。
當然我心裏也有一個小算盤,錢是上級單位撥的,不過亂花也是要出事的。我清楚很多UTM產品中都附帶了病毒過濾這個功能,當然也有單獨的防毒牆產品,在這些產品中每增加一項功能就可能要單獨付費。我們可以把所有的功能模塊都選上(因爲這次費用很充足),但明年的續費誰來了管呢?所以只選擇必要的功能,這是採購前,心裏已經定下的事情了。拿着未來1年的網絡改造方案,在安全的前提下實現全網資源互訪,我將目標鎖定在UTM產品上,UTM的防毒功能開啓後的測試就成了我的心病,夜不能寐呀!
廠商應約而至的一週
早上來到辦公室開始了採購前的必備工作:打電話。第一個電話打出去以後,就已經象徵着這個項目的正式啓動。從第三天開始,推銷產品的、約見的、送標書的都來了。爲了避免被忽悠(曾經被忽悠多次,有經驗了),我也開始發動我的“黑暗力量”,一堆“灰客”朋友快遞過來了大量的病毒代碼,實驗室快速搭建完成,所有測試機都安裝統一殺毒軟件(防毒代碼更新置2009.1.16)。由於採購數量很大,引來的蝴蝶也確實不少,我實在懶得一家家聽廠商介紹了,是不是金子?到實驗室練練吧。下面是兩週來實驗室中的記錄,由於採購還在進行中,有些涉及廠商名子的內容暫且略去了。
1.Web應用協議防毒與產品
對於大家都有的HTTP、FTP、SMTP等的防護測試是必須的,我這裏也不想多費筆墨進行解釋了。值得一提的是大部分的測試產品都支持“路由”和“透明”這兩種模式,這裏面有5家需要更改IE的代理服務器地址設置。在支持這兩種功能的產品中,採用透明模式下10%的產品有漏殺現象,路由模式有3~5%的病毒鑽了過來。在網關(路由)模式下,開啓防毒功能,並將深度檢測功能調整在最高檔位,其中70%以上的產品下載速度下降有六成以上。
第一輪測試結束後,凸現了第一個問題,參與測試的人員提出內部用戶並不願意爲了進行HTTP的病毒掃描而在IE瀏覽器中設置代理,而且如果設置代理,許多不支持代理的應用將無法進行。要實現HTTP的病毒掃描,又要對用戶表現爲透明,雖然我提出了利用“活動目錄+組策略”的解決辦法,但很快就被kill掉了。第一批不符合應用習慣和性能較差的產品遭到淘汰。
2.變態的SMB共享防毒測試
全網文件共享服務,這是一個很大但的想法。對於已經感染了病毒的文件服務器進行COPY Files,我們測試針對SMB文件共享之後防毒功能確實有些變態,因爲大多UTM的設計是針對WEB防毒的,他們支持HTTP、SMTP、POP3、FTP、IM的病毒掃描。測試方案遭到了很多廠商的質疑,不過他們中間確實有兩家可以對文件共享防毒提供支持,我想他們伸出了橄欖枝。當然,在1萬多臺客戶端的網絡中進行全網文件共享服務,還只是我的一個設想。
3.研究產品與操作手冊
還是一個容易被忽悠的問題。測試過半,我將工作交給了其他安全工程師,開始研究其產品操作手冊來。實話實說,我不喜歡那些1500頁以上的產品說明書。各個廠商的硬件安全網關產品雖然各有特色,但在具體的售後服務、升級擴展方面卻千差萬別,尤其對於那些在論壇中口碑較差的產品,我對此更是心存顧慮。還有,之前的測試已經表明硬件安全網關雖然能夠深度檢測防禦病毒,但對於網絡流量會形成一定的速度限制,如何在防病毒和網絡流量間取得平衡,我頗爲頭疼的問題。對性能影響有說明,大致符合我們測試結果的產品說明書被我方在了左邊的抽屜裏,其它的……哎,不過產品還在測試,一切還不明朗。